容器安全基础:非 root 运行与只读文件系统
容器安全基础:非 root 运行与只读文件系统
安全风信子
发布于 2025-11-18 16:31:49
发布于 2025-11-18 16:31:49
一句话承诺:两处配置即可大幅降低容器被攻陷的风险。
Dockerfile 最小示例
FROM node:18-alpine
RUN adduser -D app
USER app
WORKDIR /app
COPY . .
CMD ["node", "server.js"]运行时只读文件系统
# docker-compose
services:
web:
image: myapp
read_only: true
tmpfs:
- /tmp补充安全项
项目 | 建议 |
|---|---|
Capabilities | 去除不必要权限 |
seccomp | 使用默认或自定义策略 |
rootfs | 只读 + tmpfs |
常见坑与替代法
- 坑:应用需要写入。替代:挂载特定卷或 tmpfs 指定目录。
- 坑:第三方镜像默认 root。替代:在运行时指定 user 或自行构建。
下一篇预告
K8s 存储卷:PVC 与 StorageClass 最小示例。
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2025-11-12,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
